Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando Microsoft Sentinel envían o generan alertas, contienen elementos de datos que Sentinel pueden reconocer y clasificar en categorías como entidades. Cuando Microsoft Sentinel entiende qué tipo de entidad representa un elemento de datos determinado, conoce las preguntas adecuadas para formular al respecto y, a continuación, puede comparar información sobre ese elemento en toda la gama de orígenes de datos y realizar un seguimiento sencillo de él y hacer referencia a él a lo largo de toda la experiencia de Sentinel: análisis, investigación, corrección, búsqueda, etc. Algunos ejemplos comunes de entidades son cuentas de usuario, hosts, buzones, direcciones IP, archivos, aplicaciones en la nube, procesos y direcciones URL.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
En el portal de Microsoft Defender, las entidades generalmente se dividen en dos categorías principales:
| Categoría de entidad | Caracterización | Ejemplos principales |
|---|---|---|
| Activos | ||
| Otras entidades (evidencia) |
Identificadores de entidad
Microsoft Sentinel admite una amplia variedad de tipos de entidad. Cada tipo tiene sus propios atributos únicos, que se representan como campos en el esquema de entidad y se denominan identificadores. Consulte la lista completa de entidades admitidas a continuación y el conjunto completo de esquemas e identificadores de entidad en Microsoft Sentinel referencia de tipos de entidad.
Identificadores fuertes y débiles
Para cada tipo de entidad, hay campos o conjuntos de campos que pueden identificar instancias concretas de esa entidad. Estos campos o conjuntos de campos se pueden denominar identificadores seguros si pueden identificar de forma única una entidad sin ambigüedad, o como identificadores débiles si pueden identificar una entidad en algunas circunstancias, pero no se garantiza que identifiquen de forma única una entidad en todos los casos. Sin embargo, en muchos casos, se puede combinar una selección de identificadores débiles para generar un identificador seguro.
Por ejemplo, las cuentas de usuario se pueden identificar como entidades de cuenta de más de una manera: mediante un único identificador seguro como el identificador numérico de una cuenta de Microsoft Entra (el campo GUID), o su valor de Nombre principal de usuario (UPN), o alternativamente, mediante una combinación de identificadores débiles como sus campos Name y NTDomain. Diferentes orígenes de datos pueden identificar al mismo usuario de maneras diferentes. Cada vez que Microsoft Sentinel encuentra dos entidades que puede reconocer como la misma entidad en función de sus identificadores, combina las dos entidades en una sola entidad, de modo que se pueda controlar correctamente y de forma coherente.
Sin embargo, si uno de los proveedores de recursos crea una alerta en la que una entidad no está lo suficientemente identificada (por ejemplo, con un solo identificador débil como un nombre de usuario sin el contexto de nombre de dominio), la entidad de usuario no se puede combinar con otras instancias de la misma cuenta de usuario. Esas otras instancias se identificarían como una entidad independiente y esas dos entidades permanecerían independientes en lugar de unificadas.
Para minimizar el riesgo de que esto ocurra, debe comprobar que todos los proveedores de alertas identifican correctamente las entidades en las alertas que generan. Además, la sincronización de entidades de cuenta de usuario con Microsoft Entra ID puede crear un directorio unificador, que podrá combinar entidades de cuenta de usuario.
Entidades admitidas
Los siguientes tipos de entidades se identifican actualmente en Microsoft Sentinel:
- Account
- Host
- Dirección IP
- URL
- Recurso de Azure
- Aplicación en la nube
- Resolución dns
- Archivo
- Hash de archivo
- Malware
- Proceso
- Clave del registro
- Valor del Registro
- Grupo de seguridad
- Buzón
- Clúster de correo
- Mensaje de correo
- Correo de envío
Puede ver los identificadores de estas entidades y otra información relevante en la referencia de entidades.
Asignación de entidades
¿Cómo Microsoft Sentinel reconoce un fragmento de datos de una alerta como identificación de una entidad?
Veamos cómo se realiza el procesamiento de datos en Microsoft Sentinel. Los datos se ingieren de varios orígenes a través de conectores, ya sean de servicio a servicio, basados en agentes o basados en API. Los datos se almacenan en tablas del área de trabajo de Log Analytics. Estas tablas se consultan a intervalos regulares mediante las reglas de análisis programadas o casi en tiempo real que ha definido y habilitado, o a petición como parte de las consultas de búsqueda al buscar amenazas. Parte de la definición de estas reglas de análisis y consultas de búsqueda es la asignación de campos de datos de las tablas a tipos de entidad reconocidos por Microsoft Sentinel. Según las asignaciones que defina, Microsoft Sentinel tomará campos de los resultados devueltos por la consulta, los reconocerá por los identificadores que especificó para cada tipo de entidad y les aplicará el tipo de entidad identificado por esos identificadores.
¿Cuál es el punto de todo esto?
Cuando Microsoft Sentinel es capaz de identificar entidades en alertas de distintos tipos de orígenes de datos, y especialmente si puede hacerlo mediante identificadores seguros comunes a cada origen de datos o a otro esquema, puede correlacionar fácilmente entre todas estas alertas y orígenes de datos. Estas correlaciones ayudan a crear un amplio almacén de información e información sobre las entidades, lo que le proporciona una base sólida y un contexto para investigar y responder a amenazas de seguridad.
Obtenga información sobre cómo asignar campos de datos a entidades.
Obtenga información sobre qué identificadores identifican fuertemente una entidad.
Páginas de entidad
Ahora puede encontrar información sobre las páginas de entidad en páginas de entidad en Microsoft Sentinel.
Pasos siguientes
En este documento, ha aprendido a trabajar con entidades en Microsoft Sentinel. Para obtener instrucciones prácticas sobre la implementación y para usar la información que ha obtenido, consulte los artículos siguientes:
- Habilite el análisis de comportamiento de entidad en Microsoft Sentinel.
- Busque amenazas de seguridad.